Process Monitor poate fi descarcat de pe website-ul technet.microsoft.com. Rulati aplicatia cu drepturi administrative (run as administrator).

Pentru a usura cautarea unui eveniment puteti aplica filtre pentru categorie, companie, descriere, pid, nume proces, versiune, utilizator, sesiune, cale, etc. Accesati meniul Filter -> Filter… sau Ctrl + L (de la tastatura).

Mai jos am aplicat filtru pentru inregistrarile de tip “Process Name” = svchost -> Add -> Apply.

Pentru a incepe procesul de monitorizare este necesar sa accesati meniul File -> Capture Events sau Ctrl + E (de la tastatura).

In functie de tipul de inregistrare dorit puteti afisa activitatea transmisa de registrii, de sistem, de retea sau procese. Exemplu pentru optiunea “Show Network Activity“:

Sa presupunem ca ne intereseaza procesele pentru svchost.exe . Scanam si analizam evenimentele in functie de PID (process id). In exemplul atasat ma intereseaza detaliile despre pid = 776.

Pentru detalii suplimentare selectam inregistrarea, apoi click dreapta -> Properties. Informatiile de interes sunt afisate in sectiunea Process si Stack. Precum observati procesul wmiprvse.exe, pid = 776 este creat de svchost.exe, apartine sistemului de operare si este stocat in calea C:Windowssystem32.

Din meniul Tools -> Process Tree… sau Ctrl + T (de la tastatura) puteti afisa toata structura de procese. In acest mod puteti urmari cu usurinta orice proces.

Exemplu:

Salvarea evenimentelor

Puteti salva in format csv evenimentele inregistrate de Process Monitor. Pentru acest lucru accesati meniul File -> Save… sau Ctrl + S (de la tastatura) -> ok.